窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。
その内容はクレジットカードの利用や個人情報の閲覧など、多岐にわたります。
本記事では2019年に発生したなりすましによる不正アクセスとその被害内容をまとめました。
具体的な対策についても触れていますので、ぜひご一読ください。
最新の不正アクセス対策について被害内容、発生後の対応などを以下の記事にまとめていますのでご興味があれば合わせてご覧ください。
目次
2019年に発生したなりすましによる不正アクセスとその被害内容
「なりすまし」とは第三者が他人になりかわる不正アクセス・ログイン行為を指します。
実際にあった被害としては、2019年5月には家電量販店運営企業がパスワードリスト攻撃により不正ログインされ、ポイント計数十万円分が不正利用されました。
また2019年7月には、流通系企業にてパスワードリスト攻撃により808人のアカウントに不正ログインが発生。38,615,473円ものスマートフォン決済が行われています。
同じく2019年7月、物流系企業でパスワードリスト攻撃で不正ログインが発生。3,467件のアカウントのユーザー情報が不正に閲覧されました。
このようになりすましによる被害は大きく、様々な業界で発生しています。
なりすましによる不正アクセスはどのように行われるのか
なりすましによる不正アクセスは
- ID・パスワードの収集
- 不正ログイン
といった流れで行われます。
まずは過去に流出したID・パスワードをダークウェブ等から収集します。
そこで得た情報をもとに不正ログインを行います。
(前項で「実際にあった被害」として触れた、パスワードリスト攻撃などがこれに当たります)
この流れのうち、過去に流出したID・パスワードの収集を防ぐすべはありません。
そのため企業としては流出したID・パスワードを使った不正会員登録・不正ログインを防ぎ「なりすまし対策」をしましょう。
収集された情報を使えないようにすれば、被害をくい止めることができます。
なりすまし不正アクセスはどうすれば防げるのか?
では、被害を防ぐための具体的な方法はどういったものが挙げられるのでしょうか。
ここでは、
- ブラックリスト管理(監視)
- 多要素認証
- 人力でのモニタリング
- 不正検知システムの導入
の4つに分けてご紹介していきます。
ブラックリスト管理(監視)
まず挙げられるのはIPアドレスのブラックリスト管理(監視)です。
IPアドレスとはインターネットに接続された機器を識別するための番号です。
パケットを送受信する機器を判別するために使われているのですが、機器ごとに単一の番号が割り当てられるのでブラックリスト管理が可能です。
しかしIPアドレスは変更・偽装ができるため、ブラックリスト管理(監視)の効果は短期間・限定的と言えます。
多要素認証
次に挙げられるのは多要素認証です。
多要素認証とは決済やログインをする際、ユーザーに対し複数の異なる要素を要求する認証方式です。
パスワードの入力の他に、SMSで送られるワンタムパスワードの入力や、秘密の質問への回答でユーザーを認証し、セキュリティを高めます。
(補足ですが、2種類の場合は二要素認証と呼ぶ場合もあります)
この多要素認証はセキュリティ精度は高いものの、ユーザーへの負担は大きいです。
そのため全ユーザーに強制しづらいという特徴があります。
人力でのモニタリング
3つ目として、人力でのモニタリングも1つの方法も挙げられます。
しかし、全ての決済やログインをモニタリングするコストは膨大ですし、監視できる時間帯も限られます。
これらの対策では精度や負荷の面から物足りない点は多いものの、何かしら網を設けて不正アクセスを防止する必要があり、運用されてきたという実態があります。
不正検知システムの導入
近年、抜本的な対策として重要視されているのが、大量のアクセスでもリアルタイム・高精度に不正アクセスを検知できるシステム(不正検知システム)です。
これらは様々な企業で開発され、金融機関等から導入が進み始めています。
不正検知システムとは
- 取引データ
- 検知サービスそれぞれのノウハウ
などの情報から、危険性を判断します。
不正利用の対策として注目される不正検知システム
上記で挙げた対策の中でも、特に注目されているのが不正検知システム。
不正検知システムは2018年の割賦販売法改正を受けてクレジット取引セキュリティ対策協議会が発表した「実行計画2019」でも、詳しく解説されています。
不正検知システムを利用すると、基本的には不正利用される前に判断できるため、被害を防ぎつつ対処できます。
また多要素認証のようにユーザーに求めるものがなく、負担をかけずに済むのもメリットです。
さらに不正検知システムによっては挙動からリスト型攻撃を検知することも可能です。
ただ、それぞれどのような情報を精査できるのかはシステム毎に異なります。そのため、導入する場合は自社にあったものを検討しましょう。
不正検知システムについてのはこちらの関連記事をご覧ください。
当サイトを運営するかっこ株式会社は、国内導入実績No.1を誇る不正検知システム「O-PLUX」を提供しています。
なりすましを始めとして不正利用をリアルタイムで判断できるため、自社のセキュリティ向上につながります。
具体的な対策案を知りたいという方は、お気軽にご相談ください。